Wprowadzenie do problemu / definicja
Amerykańska agencja CISA dodała krytyczną podatność CVE-2025-68613, dotyczącą platformy automatyzacji workflow n8n, do katalogu Known Exploited Vulnerabilities. To istotny sygnał dla zespołów bezpieczeństwa, ponieważ oznacza potwierdzone wykorzystanie luki w realnych atakach, a nie jedynie istnienie teoretycznej możliwości jej nadużycia.
Problem dotyczy błędu typu expression injection, który może prowadzić do zdalnego wykonania kodu na serwerze obsługującym instancję n8n. W praktyce zagrożenie obejmuje nie tylko samą aplikację, ale również wszystkie systemy, z którymi jest ona zintegrowana.
W skrócie
Podatność CVE-2025-68613 otrzymała ocenę krytyczną CVSS 9.9 i umożliwia wykonanie dowolnego kodu z uprawnieniami procesu n8n. Poprawki zostały udostępnione w wersjach 1.120.4, 1.121.1 oraz 1.122.0, jednak wiele instancji przez cały czas pozostaje publicznie dostępnych i niezałatanych.
- Luka została potwierdzona jako aktywnie wykorzystywana.
- Dotyczy mechanizmu oceny wyrażeń w workflow.
- Może prowadzić do przejęcia sekretów, modyfikacji procesów i dalszej penetracji środowiska.
- CISA wyznaczyła termin usunięcia podatności dla agencji federalnych na 25 marca 2026 roku.
Kontekst / historia
n8n to popularna platforma do automatyzacji procesów, integracji aplikacji i orkiestracji przepływów danych. W wielu organizacjach pełni rolę centralnego węzła łączącego usługi SaaS, systemy wewnętrzne, bazy danych, narzędzia komunikacyjne i komponenty AI.
Właśnie dlatego bezpieczeństwo tej klasy rozwiązań ma szczególne znaczenie. Instancje n8n często przechowują tokeny API, dane uwierzytelniające, logikę biznesową oraz dostęp do krytycznych procesów operacyjnych. Naruszenie takiego systemu może przełożyć się na szeroki incydent obejmujący wiele obszarów infrastruktury.
Podatność CVE-2025-68613 została ujawniona i załatana w grudniu 2025 roku, a w marcu 2026 roku trafiła do katalogu KEV. To pierwszy przypadek, gdy luka dotycząca n8n została wpisana na tę listę, co wyraźnie podnosi rangę zagrożenia.
Analiza techniczna
Źródłem problemu jest mechanizm przetwarzania wyrażeń w workflow. Niewłaściwa kontrola dynamicznie zarządzanych zasobów kodu może umożliwić obejście oczekiwanej izolacji i wykonanie nieautoryzowanej logiki na serwerze hostującym n8n.
Atak polega na wstrzyknięciu złośliwego wyrażenia do definicji przepływu pracy. jeżeli napastnik ma uwierzytelniony dostęp umożliwiający tworzenie lub modyfikację workflow, może doprowadzić do uruchomienia poleceń z uprawnieniami procesu aplikacji. Taki poziom dostępu wystarcza często do pozyskania sekretów, przejęcia integracji oraz przygotowania kolejnych etapów ataku.
Szczególnie niebezpieczne jest to, iż n8n działa zwykle jako warstwa pośrednicząca pomiędzy wieloma systemami. W efekcie udana eksploatacja może dać atakującemu dostęp do usług chmurowych, CRM, narzędzi DevOps, systemów finansowych, komunikatorów firmowych czy pipeline’ów AI.
Konsekwencje / ryzyko
Najpoważniejszym skutkiem wykorzystania CVE-2025-68613 jest pełna kompromitacja instancji n8n. Ze względu na zakres integracji taki incydent może gwałtownie przekształcić się w naruszenie o znacznie szerszym zasięgu.
- kradzież kluczy API, tokenów OAuth i innych sekretów,
- modyfikacja lub sabotowanie workflow biznesowych,
- uruchamianie poleceń systemowych na serwerze,
- pivot do innych systemów wewnętrznych,
- manipulacja danymi przetwarzanymi przez integracje,
- utrata poufności, integralności i dostępności procesów automatyzacji.
Ryzyko rośnie wraz z ekspozycją instancji do internetu, liczbą użytkowników oraz poziomem uprawnień przyznanych samej aplikacji. Organizacje powinny traktować n8n jako zasób uprzywilejowany, a nie jedynie kolejne narzędzie webowe.
Rekomendacje
Najważniejszym działaniem jest natychmiastowa aktualizacja do wersji zawierających poprawkę lub nowszych. Minimalny bezpieczny poziom to 1.120.4, 1.121.1, 1.122.0 albo późniejsze wydanie dostępne w używanym kanale utrzymania.
- ograniczyć możliwość tworzenia i edycji workflow wyłącznie do zaufanych kont,
- usunąć publiczną ekspozycję instancji, jeżeli nie jest niezbędna,
- zabezpieczyć panel administracyjny przez VPN, reverse proxy i listy kontroli dostępu,
- przeprowadzić przegląd sekretów przechowywanych w n8n oraz wykonać rotację poświadczeń po podejrzeniu kompromitacji,
- uruchamiać usługę z minimalnymi uprawnieniami systemowymi i adekwatną segmentacją sieci,
- monitorować logi pod kątem nietypowych zmian workflow, nowych zadań i anomalii wykonania,
- wdrożyć detekcję zachowań wskazujących na uruchamianie nieoczekiwanych poleceń systemowych,
- wykonać inwentaryzację wszystkich publicznie dostępnych instancji i potwierdzić ich rzeczywisty stan wersji.
W środowiskach o podwyższonym ryzyku warto dodatkowo objąć n8n kontrolami stosowanymi wobec serwerów integracyjnych, platform CI/CD i systemów przechowujących sekrety.
Podsumowanie
Dodanie CVE-2025-68613 do katalogu KEV potwierdza, iż luka w n8n jest aktywnie wykorzystywana i wymaga pilnej reakcji. Ze względu na centralną rolę platformy w integracji procesów biznesowych skutki skutecznego ataku mogą wykraczać daleko poza samą aplikację.
Dla organizacji korzystających z n8n priorytetem powinny być aktualizacja, ograniczenie ekspozycji, przegląd uprawnień, rotacja sekretów oraz monitoring pod kątem oznak kompromitacji. W praktyce to dziś jedno z najważniejszych działań obronnych dla zespołów utrzymujących środowiska automatyzacji.
Źródła
- The Hacker News — https://thehackernews.com/2026/03/cisa-flags-actively-exploited-n8n-rce.html
- NVD — CVE-2025-68613 — https://nvd.nist.gov/vuln/detail/CVE-2025-68613
- Canadian Centre for Cyber Security — n8n security advisory (AV25-857) — https://www.cyber.gc.ca/en/alerts-advisories/n8n-security-advisory-av25-857
- Rapid7 Vulnerability Database — n8n Expression RCE CVE-2025-68613 — https://www.rapid7.com/db/vulnerabilities/n8n-expression-rce-cve-2025-68613/
- CVE Record — CVE-2025-68613 — https://www.cve.org/CVERecord?id=CVE-2025-68613